セキュアにならないWebサイト(2) Webアプリケーションの攻撃への対策とは | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

セキュアにならないWebサイト(2) Webアプリケーションの攻撃への対策とは

特集 特集

3月11日頃から突然、中国からのSQLインジェクションが急増した(http://www.lac.co.jp/news/press20080312.html)ことは記憶に新しい。この一連の攻撃の目的は定かではないが、世界中の多くのサイトのコンテンツが改竄された。興味深いのは、従来のiframeタグの挿入ではなく、スクリプトタグの挿入であることや、誘導サイトで利用されているツールキットが、中国産の攻撃ツールであったこと、悪意あるJavaScriptにfuckjpとしていることなど、中国ハッカーの独自色が出ていることが挙げられる。

これに対し、これほど改竄されるサイトが存在したことにも驚きが隠せない。攻撃手法の傾向が、OSやサーバアプリケーションの脆弱性を狙ったものから、Webアプリケーションの脆弱性を狙ったものへと変化したことに、未だ世界中が対応出来ていないことが露呈したのだ。

先日、公開されたWhiteHat Securityのレポート(http://www.whitehatsec.com/home/news/08presssarchives/NR_stats032408.html)によると、10サイト中のうち9サイトは攻撃者がExploit可能な脆弱性を保有しているという。中でも、XSSは全体の約70%で、SQLインジェクションにおいては、6サイト中1つだという。このデータは診断サービスを受けるようなセキュリティ意識の高い企業のものであることを考えると、世の中が標準的にセキュアなWebサイトを構築されることはまだまだ先なのかもしれない。そこで、本稿ではWebアプリケーションの攻撃への対策を考えてみた。

■負荷分散のススメ

プログラマ依存の対策は、人的リソースやスピードなどに限界がある。つまり、ミスは必ず発生するものと考えるべきだ。

(1) WAF

安定度や攻撃検知精度が疑問なWAFだが、決して悪いわけではない。これらの製品には、スクリプトキディからの7割〜8割程度の攻撃が遮断されれば良いと考えるべきだ。これだけでもコード修正を行うプログラマからすると、負荷が軽減されるはずだ。IDS/IPSでも良いのだが、最近の攻撃はURLエンコードなどの回避技術が取り込まれていることや、Webのトラフィックを処理する際のパフォーマンス面を考慮すると適切ではない。

(2) ホスト型セキュリティツール

Apache対応のmod_securityや、「FORTIFY Defender」のようなホスト型セキュリティツールなども有効だ。ホワイトリストを作成するタイプや、ある程度の安全性を確保するタイプのツールが殆どだ。運用が少々面倒であるが、コードを常にチェックすることに比べれば、自動的に攻撃のダメージを軽減してくれるため、効果は大きい。

(3) サーバ設定

Webアプリケーションばかりに目がいってしまうが、SQL Serverなどの場合は設定も重要な要素だ。例えば、エラーメッセージを出力設定だ。この設定は、デバッグ用にオンにされていることが多いが、攻撃者はこの設定を悪用して重要情報を出力することが多い。そのため、エラーメッセージを出力しないだけでも、根本的ではないがリスクを軽減することが可能だ。さらに、SQL Serverの自由度の高さを示す代表的な機能といえば、システム拡張ストアドプロシージャなどの問題が挙げられる。これらの使用を停止するだけでも有効だ。

(4) 楽天等の利用

全く話が異なるが、開発を諦めて楽天等に運用を任せてしまうのも手段のひとつだ。個人情報の取り扱いやサーバの運用等、一括でアウトソースすることで、コスト面を含めて大幅にリスクを軽減させることが可能だ。但し、決まった仕様で管理が可能な、小中規模のWebサイトに限られてしまうため、大規模サイトの運用は少々難があるとは思う。

最近の事件を見ていると、別の傾向が見えてきた。それは…

【執筆:二根太】

【関連記事】
セキュアにならないWebサイト(1) 改善されない理由とは
https://www.netsecurity.ne.jp/3_11450.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×